根據(jù)Palo Alto Networks Unit 42的一份調(diào)查報(bào)告，研究人員發(fā)現(xiàn)，攻擊者濫用合法軟件即服務(wù) (SaaS) 平臺(tái)創(chuàng)建釣魚網(wǎng)站的行為正在激增，數(shù)據(jù)顯示，從 2021 年 6 月到 2022 年 6 月，這種濫用行為大幅增加了 1100%。

SaaS為網(wǎng)絡(luò)釣魚行為提供了一些便利，包括規(guī)避電子郵件安全系統(tǒng)的檢測、享受高可用性以及無需學(xué)習(xí)編寫代碼來創(chuàng)建看似合法的網(wǎng)站。此外，由于 SaaS 平臺(tái)簡化了創(chuàng)建新站點(diǎn)的過程，攻擊者可以輕松切換到不同的主題、擴(kuò)大或多樣化其運(yùn)營。

Unit 42 將被濫用的平臺(tái)分為六類：文件共享、調(diào)查表單器、網(wǎng)站生成器、筆記和文檔編寫平臺(tái)以及個(gè)人檔案。Palo Alto Networks 記錄了所有類別的濫用增長。

按類別分類的 SaaS 平臺(tái)濫用增長情況

Unit 42 報(bào)告解釋說，多數(shù)情況下，攻擊者直接在被濫用的服務(wù)上托管他們的憑證竊取頁面，而在一些特定情況下，托管在被濫用服務(wù)上的登錄頁面本身并不包含憑證竊取表單，相反，攻擊者通過一個(gè)重定向步驟將受害者帶到另一個(gè)站點(diǎn)。

釣魚網(wǎng)站可以托管在一個(gè)不回應(yīng)刪除請(qǐng)求的防彈主機(jī)服務(wù)提供商（BPH）上，因此，釣魚行為者遵循這種做法，在犧牲轉(zhuǎn)化率的同時(shí)增加活動(dòng)的正常運(yùn)行時(shí)間。如果最終的憑證竊取頁面被刪除，攻擊者可以簡單地更改鏈接并指向新的憑證竊取頁面，保證釣魚行為的持續(xù)性。

研究認(rèn)為，阻止對(duì)合法 SaaS 平臺(tái)的濫用非常困難，這也是 SaaS如此適合網(wǎng)絡(luò)釣魚活動(dòng)的原因所在。對(duì)于用戶而言，還是要牢記在被要求輸入賬戶憑證時(shí)確保網(wǎng)站 URL 的正規(guī)性。